[15/04/2022]Entre las más de cien vulnerabilidades corregidas por Microsoft esta semana durante su ciclo mensual de parches hay una que tiene muy preocupada a la comunidad de seguridad. Se trata de una vulnerabilidad crítica de ejecución remota de código (RCE) localizada en el tiempo de ejecución de llamadas a procedimientos remotos (RPC) de Windows.
La falla, rastreada como CVE-2022-26809, puede ser explotada a través de la red sin interacción del usuario, posiblemente utilizando múltiples protocolos como desencadenante. Es el tipo de vulnerabilidad que dio vida a importantes botnets en el pasado, ya que algunos procesos de Windows utilizan RPC para comunicarse entre sí a través de las redes.
"El parcheado es la única solución real para esta vulnerabilidad", señaló Johannes Ullrich, fundador del SANS Internet Storm Center, en un aviso. "No lo retrase. Parchee ahora y aplique toda la actualización de abril". Corrige varias otras fallas críticas que pueden tener un impacto similar dentro de su red (por ejemplo, la falla NFS [Sistema de archivos de red]). Si se lo pregunta, no puede "desactivar" la RPC en Windows. Romperá cosas. RPC hace más que SMB [Server Message Block]".
¿Por qué es difícil lidiar con CVE-2022-26809?
La falla CVE-2022-26809 es una de las tres fallas de ejecución remota de código RPC que Microsoft ha parcheado este mes. Las otras dos están registradas como CVE-2022-24492 y CVE-2022-24528. Sin embargo, el vector de ataque para estos dos últimos defectos es del lado del cliente, ya que un atacante necesita engañar a los usuarios para que ejecuten un script especialmente diseñado que luego haga una llamada a un host RPC y ejecute código con los mismos permisos que el servicio RPC.
En comparación, la explotación de CVE-2022-26809 es completamente del lado del servidor y no requiere la interacción del usuario. Un atacante solo tiene que identificar un sistema que tenga un servicio RPC a la escucha de conexiones y luego enviar el exploit.
Ha habido un debate en la comunidad de seguridad desde que se anunció la falla sobre qué protocolos se pueden utilizar para alcanzar la vulnerabilidad. Para entender el porqué, es importante comprender cómo funciona la RPC.
Cómo funciona la RPC
RPC es un método estandarizado para crear aplicaciones cliente-servidor en las que una aplicación cliente puede llamar a un procedimiento expuesto por una aplicación servidor sin preocuparse de la red subyacente. Las dos aplicaciones pueden incluso estar en la misma máquina, y muchos servicios y características de Windows se basan en RPC localmente. Microsoft incluso tiene un artículo de soporte que advierte sobre la necesidad de deshabilitar RPC.
El puerto de comunicaciones estándar utilizado por MSRPC es TCP 135. Sin embargo, el tráfico RPC puede ser tunelizado sobre otros protocolos como SMB/CIFS, HTTP o TCP en diferentes puertos. Por eso, en su aviso, Microsoft señala que el puerto TCP 445, que normalmente utiliza el protocolo SMB, puede utilizarse para iniciar una conexión con el componente afectado y recomienda a las organizaciones que bloqueen el puerto 445 en sus perímetros de red.
Mientras tanto, otras organizaciones, como la Zero Day Initiative (ZDI) de Trend Micro, mencionan el puerto TCP 135 en su aviso, causando cierta confusión. Otros se preguntan si el puerto TCP 139, también asociado a SMB y NetBIOS, podría ser también una vía de ataque, así como otras tecnologías como SMB sobre QUIC, que tuneliza el tráfico SMB sobre el puerto UDP 443 cifrado por TLS. Bloquear ese puerto en el perímetro de la red no sería factible, ya que esencialmente bloquearía todo el tráfico HTTPS.
Actualmente no hay una prueba de concepto disponible públicamente, pero es probable que solo sea cuestión de tiempo hasta que alguien desarrolle una. Los investigadores ya están aplicando ingeniería inversa al parche para comprender mejor la vulnerabilidad, e identificar todas las vías de ataque que podrían utilizarse para llegar al código vulnerable.
Incluso si solo los puertos 135 y 445 pueden ser utilizados para un exploit de este tipo, la exposición seguiría siendo grande. Según un análisis de la vulnerabilidad realizado por investigadores de Akamai, casi 800 mil sistemas aceptan actualmente conexiones a través del puerto 445 desde Internet. Esto se basa en los datos del motor de búsqueda Shodan, que tiene una visibilidad limitada, por lo que el número real es en realidad mayor. Si añadimos todos los sistemas que anuncian públicamente un servicio "Microsoft RPC Endpoint Mapper", el número se dispara a más de 2,1 millones.
Eso son solo los sistemas a los que se puede acceder directamente desde Internet, pero este exploit también supone un gran riesgo para las redes locales, ya que puede utilizarse para el movimiento lateral. Conseguir un punto de apoyo dentro de las redes locales no es difícil para los atacantes y puede lograrse de diversas maneras, desde credenciales comprometidas hasta empleados que hacen clic en archivos adjuntos maliciosos, o fallas no parcheadas en servicios o dispositivos expuestos públicamente. Estamos en una época en la que las políticas de seguridad no deberían basarse en la premisa de que los atacantes no pueden acceder a una red local, ya que esto es algo habitual.
Por qué el bloqueo de puertos puede no funcionar
Incluso Microsoft advierte en su aviso sobre esta vulnerabilidad que "los sistemas podrían seguir siendo vulnerables a los ataques desde el perímetro de su empresa" incluso si el tráfico a través del puerto 445 está bloqueado en el perímetro de la red. El problema es que filtrar este tipo de tráfico dentro de las redes locales es mucho más complejo porque SMB se utiliza ampliamente en los entornos empresariales. Los investigadores de Akamai recomiendan "limitar el movimiento lateral permitiendo la entrada del puerto TCP 445 solo en las máquinas en las que se necesita: controladores de dominio, servidores de impresión, servidores de archivos, etc.". Microsoft tiene una guía para asegurar el tráfico SMB en los servidores Windows.
Sin embargo, hay que tener en cuenta que SMB es solo uno de los vectores de ataque conocidos para esta vulnerabilidad, y que podrían encontrarse otros adicionales a medida que los investigadores sigan investigando la falla. Por ello, lo mejor es desplegar los parches de abril de Microsoft lo antes posible, sobre todo porque también corrigen muchas otras vulnerabilidades graves, incluida una de escalada de privilegios que ya está siendo explotada activamente.
Basado en el artículo de Lucian Constantin (CSO) y editado por CIO Perú